<?php
//php模拟pdo参数绑定
function bindParam(&$sql,$location,$var,$type){
    //确定类型
    switch ($type){
        //字符串
        default://默认使用字符串类型
        case 'STRING':
            //如果是字符串要进行转义
            $var = addslashes($var);//进行转义
            $var = "'".$var."'";//在sql语句中字符串的插入必须加上单引号
            break;
        case 'INTEGER':
        case 'INT':
            $var = (int)$var;
            break;
    }
    for($i = 0,$pos=0;$i<=$location;$i++){
        //查找到现在?所存在的位置
        //第一个参数,原始字符串  第二个参数  需要查找的字符串 第三个参数  从哪个位置开始查找
         $pos = strpos($sql,'?',$pos);
    }

    //查找到问号之后,将问号用现在传入的值进行替换
    $sql = substr($sql,0,$pos).$var.substr($sql,$pos+1);
}
$uid = 's10086s';
$pwd = 'pwd';
$sql = "SELECT * FROM table WHERE uid=? AND pwd=? ";
bindParam($sql,1,$uid,'INT');
bindParam($sql,2,$pwd,'STRING');
//其实在这里sql语句已经是过滤了
echo $sql;
